로그인 보안 정책 — 비밀번호·IP·MFA

Sufly 파트너포털의 로그인 보안 정책 가이드 — 회사 단위 비밀번호 정책(최소 길이·만료 주기), IP 화이트리스트(CIDR 접속 제한), 다단계 인증(MFA) 도입까지 로그인 단계의 보안을 강화하는 방법과 운영 요령을 안내합니다.

🔑 로그인 보안 정책 — 비밀번호·IP·MFA 로그인은 회사 데이터로 들어오는 첫 관문 입니다. 파트너포털은 이 관문을 회사 상황에 맞게 강화할 수 있도록 세 가지 로그인 보안 정책 을 제공합니다. 비밀번호의 강도와 수명을 정하는 비밀번호 정책 , 허용된 네트워크에서만 로그인을 받는 IP 화이트리스트 , 그리고 비밀번호 외에 일회용 코드를 한 번 더 요구하는 다단계 인증(MFA) 입니다. 이 세 정책은 회사(테넌트) 단위로 적용 되며, 한 번 정하면 그 회사의 모든 사용자에게 일괄 작동합니다. 이 문서는 각 정책이 무엇을 어떻게 보호하는지, 도입할 때 무엇을 주의해야 하는지를 회사 관리자 관점에서 정리합니다. 💡 진입 경로: 보안 정책의 적용·변경 은 회사 관리자 화면에 직접 노출되지 않고 서비스 운영팀 이 회사 정책에 맞춰 설정합니다. 회사 관리자는 적용을 원하는 정책과 값(예: 비밀번호 최소 길이, 허용 IP, MFA 강제 시점)을 운영팀에 요청합니다. 개별 사용자의 OTP 앱 등록은 각자 진행합니다. ⚠️ 이 문서는 로그인 단계의 정책 에 집중합니다. 데이터 암호화·권한 분리·로그인 기록 조회·백업 등 보안 전반은 보안 카테고리의 보안 및 데이터 보호 문서를 함께 참고하세요. 이 문서에서 다루는 내용 세 가지 로그인 보안 정책 한눈에 보기 비밀번호 정책 — 최소 길이 비밀번호 정책 — 만료 주기 비밀번호 정책 적용 시점과 동작 IP 화이트리스트 — 개념과 동작 IP 화이트리스트 — 단일 IP와 대역(CIDR) 등록 IP 화이트리스트 도입 전 점검 다단계 인증(MFA) — 개념과 등록 흐름 다단계 인증(MFA) — 회사 차원 강제와 유예 기한 로그인 기록과 확인 정책 조합 권장안과 도입 순서 운영 팁 & 자주 묻는 질문 1. 세 가지 로그인 보안 정책 한눈에 보기 세 정책은 로그인 한 번에서 서로 다른 위협 을 막습니다. 동시에 켜면 방어가 겹겹이 쌓입니다. 로그인 시도 │ ├─ ① 비밀번호 정책 "추측·재사용 약한 비밀번호"를 막음 (강도·수명) │ ├─ ② IP 화이트리스트 "허가되지 않은 네트워크에서의 접속"을 막음 │ └─ ③ 다단계 인증(MFA) "비밀번호가 유출돼도" 일회용 코드로 한 번 더 막음 💡 세 정책 모두 기본은 "끄거나 가장 느슨한 상태" 입니다. 별도 요청 없이도 기본 비밀번호 검증은 작동하지만, 강한 정책은 회사가 필요에 따라 켜는 구조입니다. 2. 비밀번호 정책 — 최소 길이